:: Comunicado ABIGRAF NACIONAL 008A / 2022 – LGPD – REGULAMENTO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE ::

ABIGRAF NACIONAL / COM – 008A / 2022

– LGPD –
– REGULAMENTO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE –

A Resolução CD / ANPD Nº 2 / 2022 (DOU – 28.JAN.2022), em anexo, aprova o regulamento de aplicação da Lei Geral de Proteção de Dados Pessoais -LGPD, para agentes de tratamento de pequeno porte.

Dentre as disposições destacamos:

Agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais (físicas) e entes privados despersonalizados que realizam tratamento de dados pessoais;

Microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal e o empresário a que se refere o art. 966 do Código Civil, incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou de Pessoas Jurídicas (art. 3º e 18-A, §1º da Lei Complementar nº 123/2006).

Não poderão se beneficiar deste tratamento diferenciado os agentes de tratamento de pequeno porte que:

I- realizem tratamento de dados de alto risco para os titulares;
II- aufiram receita bruta superior a R$ 4.8 milhões;
III- pertençam a grupo econômico, cuja receita global ultrapasse R$ 4.8 milhões.

Caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições acima em até 15 (quinze) dias.

TRATAMENTO DE ALTO RISCO

Será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico:

I- critérios gerais:

a) tratamento de dados pessoais em larga escala; ou
b) tratamento de dados pessoais que possa afetar interesses e direitos fundamentais dos titulares;

II- critérios específicos:

a) uso de tecnologias emergentes / inovadoras;
b) vigilância ou controle de zonas acessíveis ao público;
c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

A ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

TRATAMENTO DE DADOS PESSOAIS PELOS AGENTES DE TRATAMENTO DE PEQUENO PORTE

A dispensa / flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais relativas à proteção de dados pessoais, bem como direitos dos titulares.

OBRIGAÇÕES DO AGENTE DE TRATAMENTO DE PEQUENO PORTE

As informações sobre o tratamento de dados pessoais e as requisições dos titulares dos dados pessoais (arts. 9º e 18 da LGPD), devem ser atendidas por:

I- meio eletrônico;
II- meio impresso; ou
II – qualquer outro meio que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.

Fica facultado aos agentes de tratamento de pequeno porte organizarem-se por meio de entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

REGISTRO DAS ATIVIDADES DE TRATAMENTO

Os agentes de tratamento de pequeno porte podem cumprir a obrigação de elaboração e manutenção de registro das operações de tratamento de dados pessoais (art. 37 da LGPD), de forma simplificada.

A ANPD fornecerá modelo para este registro simplificado.

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)

Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais (DPO) (art. 41 da LGPD), porém, neste caso, devem disponibilizar um canal de comunicação com o titular dos dados pessoais.

SEGURANÇA E DAS BOAS PRÁTICAS

Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Os agentes de tratamento de pequeno porte podem estabelecer política simplificada de segurança da informação, que contemple requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A política simplificada de segurança da informação deve levar em consideração os custos de implementação, bem como a estrutura, a escala e o volume das operações.

Este regulamento não se aplica ao tratamento de dados pessoais realizado por pessoa natural (física) para fins exclusivamente particulares e não econômicos.

Eventuais dúvidas poderão ser esclarecidas através do e-mail dejur@abigraf.org.br.

JUNTOS SOMOS MAIS FORTES!
RESOLUÇÃO CD_ANPD Nº 2 DE 2022

Posted in Notícias.